Accueil
Référence
Consultez les informations de référence relatives au produit.
Rubriques de l'explorateur de dossiers
Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
Création d'examens dans l'explorateur de dossiers
Apprenez à créer un examen dans l'explorateur de dossiers.
Examen d'API Web
HCL AppScan Enterprise est une solution d'entreprise évolutive qui permet aux organisations de gérer leur programme de sécurité d'application pour leurs applications Web et leurs API Web. Il présente des méthodes et des techniques de pointe pour identifier les vulnérabilités au niveau de la sécurité afin de contribuer à protéger les applications contre la menace de cyberattaques.

Référence
Consultez les informations de référence relatives au produit.
- Rubriques de l'assistant de configuration
  Apprenez-en plus sur les rubriques de l'assistant de configuration.
- Rubriques de l'explorateur de dossiers
  Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
  - Gestion de l'explorateur de dossiers
    Apprenez à utiliser l'explorateur de dossiers.
  - Création d'examens dans l'explorateur de dossiers
    Apprenez à créer un examen dans l'explorateur de dossiers.
    - Création d'un modèle QuickScan à l'aide des propriétés d'examen à partir d'AppScan Enterprise
      Un modèle QuickScan comprend soit un travail d'examen de contenu, soit un travail d'importation, en plus d'un groupe de rapports. Lorsque vous avez créé des modèles d'examen dans le dossier Modèles de la liste Dossier, ces modèles sont automatiquement mis à la disposition des utilisateurs de QuickScan et des utilisateurs plus expérimentés ayant activé leur vue QuickScan dans la liste Afficher l'explorateur de dossiers. Lorsqu'un utilisateur de QuickScan crée un examen, un travail et un groupe de rapports sont créés sur la base du modèle, mais ils apparaissent pour l'utilisateur de QuickScan comme un seul et même examen.
    - Configuration d'un examen de base sans tests de sécurité
      Cette tâche permet de configurer un examen de base avec une configuration minimale. Cet examen détectera automatiquement davantage d'adresses URL à tester dans votre application Web. Utilisez cette méthode pour une application comportant un grand nombre de liens statiques et ne requérant pas une interaction utilisateur intensive. Cet examen ne teste pas les problèmes de sécurité mais vous aide à démarrer l'exploration de votre site pour déterminer la couverture complète du site.
    - Configuration d'un examen de sécurité à l'aide des propriétés d'analyse d'AppScan Enterprise
      Les examens de sécurité doivent être exécutés dans un environnement de préproduction, tel qu'un serveur de transfert ou d'assurance qualité. Cette approche permet de limiter les risques associés à l'exécution d'examens de sécurité. Votre environnement de préproduction doit refléter l'environnement de production autant qu'il est possible ; l'application doit avoir les mêmes fichiers exécutables dans les deux environnements de façon à pouvoir tester l'application de façon approfondie. Les examens de sécurité doivent également être intégrés à votre processus SDLC (Software Development Life cycle) de façon à pouvoir isoler les problèmes de sécurité avant qu'ils n'atteignent votre environnement de production.
    - Fonctionnement d'un examen de sécurité
      Un examen de sécurité consiste en deux phases : l'exploration et le test.
    - Flux de travaux de test de la sécurité
      Un examen de sécurité exige une configuration soignée afin qu'il détecte toutes les adresses URL dans votre application web et qu'il teste leurs vulnérabilités.
    - Examen d'API Web
      HCL AppScan Enterprise est une solution d'entreprise évolutive qui permet aux organisations de gérer leur programme de sécurité d'application pour leurs applications Web et leurs API Web. Il présente des méthodes et des techniques de pointe pour identifier les vulnérabilités au niveau de la sécurité afin de contribuer à protéger les applications contre la menace de cyberattaques.
      - Création d'un examen d'API à l'aide d'ADAC
        Vous pouvez examiner une API Web à l'aide d'ADAC à partir d'AppScan Enterprise, où vous pouvez créer et exécuter un examen DAST. L'examen de l'API Web nécessite une entrée manuelle par l'utilisateur, pour montrer à AppScan Enterprise comment utiliser l'API. Pour ce faire, utilisez la section Exploration manuelle, dans laquelle vous pouvez enregistrer le trafic à l'aide d'un client externe tel que Postman, l'interface utilisateur SOAP ou tout autre client externe, ou importez un fichier de trafic précédemment enregistré.
      - Comment utiliser le serveur proxy AppScan pour enregistrer le trafic pour l'API Web
        Vous pouvez examiner une API Web en utilisant un enregistrement effectué avec le serveur proxy AppScan. Le serveur proxy AppScan permet d'enregistrer du trafic et peut être utilisé en tant que données d'exploration dans votre travail AppScan Enterprise. Le serveur proxy AppScan est un système de gestion des proxys d'enregistrement. Des instances de proxy peuvent être créées à la demande pour enregistrer le trafic et la séquence de connexion qui seront ensuite utilisés pour un examen DAST.
    - Fonctionnement de l'analyse du code source JavaScript™
      JavaScript™ Security Analyzer (JSA) effectue une analyse statique du code source JavaScript pour détecter divers problèmes côté client, principalement des scripts intersite basés DOM. JSA analyse les pages HTML collectées par AppScan® Enterprise au cours de l'étape d'exploration. JSA s'exécute parallèlement à l'étape de test ou peut être lancé manuellement à n'importe quel moment sur des résultats d'exploration existants.
    - Optimisation de votre examen à l'aide des options de configuration d'examen avancé
      Cette tâche permet de configurer un examen avancé avec une configuration complexe. Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
    - Capture et importation des données de trafic
    - Importation d'un fichier de connexion basé sur les actions depuis AppScan Standard
      La fonctionnalité de connexion basée sur les actions dans AppScan Standard produit les actions réelles de l'utilisateur dans le navigateur, plutôt que les requêtes simplement, et réexécute la séquence dans le navigateur. Tirez parti de cette fonctionnalité en créant une connexion basée sur les actions dans AppScan Standard et en l'important dans AppScan Enterprise pour éviter les événements hors session lors de l'examen.
    - Importation des données d'exploration manuelle depuis AppScan® Standard
      Vous pouvez importer des données qui ont été exportées depuis AppScan® Standard version 7.x (et versions ultérieures) dans AppScan Enterprise. L'importation de ces données peut vous faire gagner du temps et limiter les tâches redondantes. Seules les adresses URL (paramètres et domaines) et les requêtes HTTP du fichier .exd AppScan sont importées.
    - Importation des données AppScan® à utiliser dans les rapports
      Un travail d'importation récupère les résultats dans un fichier de données et les intègre dans la base de données AppScan® Enterprise Server. Les données importées peuvent être utilisées pour créer des rapports et des tableaux de bord. Elles peuvent également être combinées aux données des travaux d'examen de contenu pour créer une image précise de vos problèmes.
- Triage avec des rapports
  Les rapports sont générés automatiquement après l'exécution d'un travail. Ils permettent de gérer les problèmes qui sont importants dans votre organisation, avec une méthode prise en charge par le flux de travaux d'Enterprise Console ainsi que par les flux de travaux d'autres processus aux sein de votre organisation.
- Gestionnaire de configuration

Examen d'API Web

HCL AppScan Enterprise est une solution d'entreprise évolutive qui permet aux organisations de gérer leur programme de sécurité d'application pour leurs applications Web et leurs API Web. Il présente des méthodes et des techniques de pointe pour identifier les vulnérabilités au niveau de la sécurité afin de contribuer à protéger les applications contre la menace de cyberattaques.

Le moteur HCL AppScan Enterprise Dynamic Analysis évalue la sécurité des applications pendant l'exécution en attaquant l'application à l'aide de techniques similaires aux méthodologies utilisées par les pirates informatiques. Le résultat des tests comprend un ensemble riche de données qui passent de l'inventaire d'applications au trafic d'attaque, et peut être reproduit pour validation et réparation. Ces données peuvent être examinées et traitées dans l'interface utilisateur ou exportées dans plusieurs formats afin d'être partagées dans d'autres outils.

Pour examiner une API Web, AppScan Enterprise doit obtenir le trafic d'API généré, puis utiliser ces données pour effectuer des tests de manière automatisée.

Il existe quelques façons de fournir à AppScan Enterprise les données pour l'examen d'API :

Enregistrer le trafic à l'aide d'AppScan Dynamic Analysis Client (ADAC)
- Utilisation de l'intégration Postman ou SoapUI
- Utilisation d'un autre client externe
Enregistrer le trafic à l'aide du serveur proxy d'AppScan

Le trafic enregistré peut être chargé vers l'examen AppScan Enterprise à l'aide de l'une des options suivantes :

Charger le trafic à l'aide d'ADAC
Utiliser l'API REST pour créer un examen et charger du trafic
Créez un examen d'API à l'aide d'AppScan Standard, puis chargez le fichier dans AppScan Enterprise pour réaliser l'examen. Voir Enregistrement à l'aide d'un client externe et Importation des données d'exploration manuelle depuis AppScan Standard.

Pour plus d'informations sur les différentes méthodes utilisées pour capturer et importer des données de trafic, voir Capture et importation des données de trafic.

Lors de la création d'un examen d'API, si vous avez une authentification au site, il est recommandé de fournir un enregistrement de séquence de connexion.

L'enregistrement de la séquence de connexion peut être effectué de la manière suivante, similaire à l'enregistrement du trafic :